引言：
Metasploit是一个强大的开源的漏洞框架，其功能强大，以至于强大到能够写出一本厚厚的书（这么有名就不用说了吧？），所以如何利用这一神器，也是一个不小的问题，在走进了书城之后，我突然突发奇想，能不能利用这一神器，来干点坏事，本人对Metasploit的研究也不深，书还得慢慢啃呢（难得一次正经点的开头）


奇葩的测试环境：
为啥说奇葩，其实一开始，我的想法很简单，找到书城wifi之后，尝试爆破路由密码，登录之，接下来的事情就很好办了，要是爱情有那么简单就好了，然而开启我的wifi分析仪我就蒙了，除了书城-1层四个饭馆的wifi之外，整个书城居然没有一个wifi热点，那你让我怎么玩，后来我想了想，也许可以从官网入手，但我发现咱们书城根本没有官网啊，社工？肯定不行，我连客服电话都找不到，就在这时，我瞄到了书城的查询电脑，平时拿来查询书籍信息用的，我突然灵稽一动，我要的东西找到了


测试开始：
我简单的看了一下这台机子的信息，内网机器，对于我这种没有连接到书城网络的机子来说，当然是无法渗透的，但是我们可以通过映射内网的方式把机子映射出来，这里需要用到一个工具叫做lcx，用来设置内网端口转发的（详情参见：https://bbs.makertime.org/read-487），然后我也把Metasploit的默认监听端口映射到了外网，接着上传一个免杀的payload到机子上运行（我用的免杀工具是WinPayloads，前几天在freebuf上看见的，觉得挺好用就装了一个，至于我怎么发现机子的漏洞，他们的机器用到还是IE6.0，至于这个版本的IE，存在许多漏洞，nmap一扫便知）
payload运行成功

[img]file:///C:\Users\Administrator\AppData\Roaming\Tencent\Users\2308652512\QQ\WinTemp\RichOle\BZNW~]G~RW5MAWV3[ZIE2@0.png[/img]



获取了权限之后，第一步肯定就是提权了，我的小心思还想着能不能用DNS的组合攻击来获取整个内网的权限的（https://bbs.makertime.org/read-552），不料局域网禁arp，那咱也没办法了，只能一步一步走了，一般来说，渗透进一个主机，我们必须要做好是Guest或者User的心理准备，而这种低权限通常会限制我们做许多事情，一般的思路是循序渐进，一步一步往上，当然你可以通过分析系统组策略和已知漏洞，来跨步行走，我们通常使用本地的溢出漏洞提权，就是利用一些现成的造成溢出漏洞的exploit，把用户从低权限的用户组（Guset&User）提升到高权限用户组（Administrator、root、system等）
当然咱的结果就令人不满意了，我就是User（渣图求谅解）



想了想，比较常见的溢出漏洞就是15_051和15_078了，没想到这个安全策略还不错，都失败了




笑容渐渐呆滞。。。


算了，再试试能不能绕过UAC（Windows自带的账户控制），我试了试Metasploit上的bypassuac模块，这是一个很强大的模块，一般都能成功的，结果。。。（提权结束后我想起这里犯了一个低级错误，绕过账户控制的前提条件必须是当前用户要在管理组，且bypassuac并不是自带免杀，使用时会在目标上创建多个文件，会被杀毒软件查杀，如果一个搞不好，有可能连之前的payload也一起杀掉，这样就前功尽弃）


笑容完全消失


我又试了几种方法，均已失败告终，没关系，凡事要往乐观方面想，虽然我们的提权失败了，但是至少我们登录了内网，这样就有办法肛其他机子了


内网信息搜集：
信息搜集一般作为渗透测试的第一步，自从上次失败后，咱们算是开启了一个新阶段的渗透测试，在域渗透中，可以利用嗅探，抓Hash，抓包等方式获取敏感数据，我这里先看看域基本信息









来说明一下，域渗透最终目的（不是你的最终目的）当然是获取域管理或成为其中一员，在此情况下，才可以对整个域随心所欲，情况有两种：
1.域服务器可以被直接攻击（在当前条件下已排除）
2.不可以直接攻击，低权限情况下需要提权，如果是当前主机无法连接域服务器，则需要找到能连接域服务器的主机，以此为前提攻击域服务器（去玩玩Hacknet吧！玩了你就明白了！）


简单分析下，咱们可以按如下方法一一尝试
1.提权当前主机，在高权限条件下攻击域服务器（得了吧我自己都放弃了）
2.利用自带的powershell扫描域
3.本地架设socks4a，然后用它扫描内网
4.利用当前用户攻击域内其他用户


在获取域用户前提下攻击其他机器，让我想起了经典的$IPC攻击，那干脆试试，反正域攻击方法有很多，咱们一个一个来（其实我就是没有工具蛤蛤蛤）


果然可以，那接下来好办了，关于$IPC攻击的详细操作过程，百度上一搜一堆，但我还是要讲一下，假设目标为192.168.1.233，已确定目标存在$IPC的漏洞，操作如下：
1.net user \192.168.1.233\ipc$ （连接到192.168.1.233的$IPC共享）
2.copy 木马.exe \192.168.1.233\ipc$ （复制木马.exe到192.168.1.233上）3.at \127.0.0.25 15:30 木马.exe （使用at命令让主机在指定时间执行指定文件）
以上命令来自百度


那么运行完之后，咱们就返回Metasploit来监听了，然后监听到了返回的shell




利用sysinfo和getuid来查看信息



惊喜，system权限，最高权限组之一，那么接下来就是抓Hash了，这里提供两种方法，一种是大杀器咪咪猫（Mimikatz），还有一种就是很常见的通过hashdump来获取hash了（run post/windows/gather/hashdump），值得一提的是，如果你详细阅读过咪咪猫的操作指南，就会发现，如果目标是64位系统，则需要把咪咪猫的进程迁移到一个64位进程中，如果不迁移，则会出现无法运行或抓出一堆乱码等情况，32位则随意






然后我发现其实书城还是有域名的，但是出了问题暂时关闭了，用户名和密码就是书城的域名，所以给它上了个码


接下来就是PowerShell的专场了，在此先科普一下PowerShell到底是个什么东西（以下简称PS），它曾经是Windows系统管理员的利器，它的可执行框架曾经是系统的组件所以很难被查杀，脚本小巧而功能强大，利用PS制作出的恶意代码很容易绕过常规的杀毒软件对系统造成破坏，所以它也是恶意软件制造者的宠儿，当前利用PS来制作恶意软件的现象正在变得越来越泛滥。
（详情参考：http://www.freebuf.com/articles/database/101267.html   Powershell恶意代码的N种姿势）


Powershell内置的脚本有很多，在内网渗透测试中不仅能扫，能爆，能转发，还能做很多很多的事情。通常会用到的脚本有Powersploit，Empire，PowerView等等。


然后咱们科普一下计算机的执行策略（以下内容来自百度）：

Restricted------默认的设置，不允许任何script运行
AllSigned-------只能运行经过数字证书签名的script
RemoteSigned----运行本地的script不需要数字签名，但是运行从网络上下载的script就必须要有数字签名
Unrestricted----允许所有的script运行


很显然，如果想用PowerShell的脚本搞点事情，咱们必须得把Restricted改成Unrestricted，不然接下来的步骤没法走，但修改这个策略需要管理权限，又必须要绕过uac策略，那下面提供两种方法（感谢shuteer大神的指导）：



本地权限绕过执行PowerShell.exe -ExecutionPolicy Bypass -File xxx.ps1
本地隐藏权限绕过执行脚本PowerShell.exe -ExecutionPolicy Bypass -NoLogo -Nonlnteractive -NoProfile -WindowStyle Hidden(隐藏窗口) -File xxx.ps1

接下来先利用powerview来获取域管理员在线的服务器，然后将PV的Invoke-UserHunter模块上传到我们之前拿下的跳板服务器，然后使用该命令，具体命令如下：

powershell.exe -exec bypass -Command \"&{Import-Module .\powerview.ps1;Invoke-UserHunter}\"`

（PS：这里忘记截图所以直接盗了shuteer大神的图了。。。）
从上图可以看出域管理在线服务器，我们只要入侵此服务器并迁移进程，就完成渗透了

我们可以用getsystem来提升权限，接着getuid查看当前用户组，通过对比之前的域管理信息不难发现，我们现在是管理组了，然后用PS命令（注意这里是真·PS命令，不是Powershell的缩写），来找找管理进程，一般来说我们可以把shell进程迁移到域控进程，或者用Metasploit的令牌窃取（详见https://bbs.makertime.org/read-556），都是可以完成提权目的的



提供一个域渗透小技巧，为了方便域时间校准，提供时间的服务器一般都为域服务器，用net time来获取时间，给你提供时间的服务器基本就是域服务器了，得到之后，依葫芦画瓢，再利用一次$IPC入侵，来获取域服务器的shell，结果。。。
[img]file:///C:\Users\Administrator\AppData\Roaming\Tencent\Users\2308652512\QQ\WinTemp\RichOle\[TDWH[_P6D11U%IZ~2MU6JM.png[/img]

schtasks.exe错误？？？为什么我之前没有遇到过

算了算了，不搞那么多幺蛾子，直接添加一个域管理得了

终于。。。 域控上的管理也到手了，我估摸着那个音乐管理器是真·域控管理的用户上才有的，那咱再来抓hash，咱们先登录域控，我们这里采用最常见也是效果最好的metasploit下面的psexec来反弹meterpreter，获取登录权限



迁移进程。。。（再次盗图）


接着抓取Hash，登录之（上文有提及这里就不说了）

然后，我来到了域控的真·管理用户，你猜我发现了什么？没错，QQ音乐（不是网易云差评！），接着我上传了个极乐净土，开始运行


我放了大概一分钟，看到书城管理从我身边急匆匆的跑过，我有点怂就给关了，接着不要脸的跑去七楼等我正在补习的女朋友了


一点小小的反思：
1.使用UAC绕过时太疏忽了，幸亏机子上的杀软没那么变态，不然得重新来过，而且是高难度的重新来过
2.刚开始渗透时思路不清，白白浪费了一堆时间
3.至今没有搞清schtasks.exe错误出现的原因，下次再出现恐怕就没那么好运
4.前期信息搜集依然不到位

---

本贴完
鸣谢悉心指导我的shuteer大神，本文有诸多内容和方法来自互联网，感谢那些PowerShell和Metasploit的使用者！


2017.7.22

俗话说：kali用的好，监狱进得早

升级